@Lekseych
Windows Server 2008
В терминале работает около 100 пользователей
Периодически в журнале появляется множество записей
В терминале работает около 100 пользователей
Периодически в журнале появляется множество записей
Компьютер попытался проверить учетные данные учетной записи.
Пакет проверки подлинности: MICROSOFT_AUTHENTICATION_PACKAGE_V1_0
Учетная запись входа: ADMINISTRATOR
Исходная рабочая станция:
Код ошибки: 0xc0000064
Подробно
Имя журнала: Security
Источник: Microsoft-Windows-Security-Auditing
Дата: 24.03.2023 15:18:29
Код события: 4776
Категория задачи:Проверка учетных данных
Уровень: Сведения
Ключевые слова:Аудит отказа
Пользователь: Н/Д
Компьютер: TerminalNew.rforest.local
Описание:
Компьютер попытался проверить учетные данные учетной записи.
Пакет проверки подлинности: MICROSOFT_AUTHENTICATION_PACKAGE_V1_0
Учетная запись входа: ADMINISTRATOR
Исходная рабочая станция:
Код ошибки: 0xc0000064
Xml события:
<Event xmlns="http://schemas.microsoft.com/win/2004/08/events/event">
<System>
<Provider Name="Microsoft-Windows-Security-Auditing" Guid="{54849625-5478-4994-A5BA-3E3B0328C30D}" />
<EventID>4776</EventID>
<Version>0</Version>
<Level>0</Level>
<Task>14336</Task>
<Opcode>0</Opcode>
<Keywords>0x8010000000000000</Keywords>
<TimeCreated SystemTime="2023-03-24T12:18:29.848747700Z" />
<EventRecordID>40204636</EventRecordID>
<Correlation />
<Execution ProcessID="976" ThreadID="122172" />
<Channel>Security</Channel>
<Computer>TerminalNew.rforest.local</Computer>
<Security />
</System>
<EventData>
<Data Name="PackageName">MICROSOFT_AUTHENTICATION_PACKAGE_V1_0</Data>
<Data Name="TargetUserName">ADMINISTRATOR</Data>
<Data Name="Workstation">
</Data>
<Data Name="Status">0xc0000064</Data>
</EventData>
</Event>
Варьируется только пользователь
ADMINISTRATOR
ADMIN
АДМИНИСТРАТОР
Как по этой информации можно вычислить программу, которая это делает? Или под каким пользователем?
Решения вопроса 1
@CityCat4
А доступ в тырнет у сервера есть?
Ответы на вопрос 2
@d-stream
Можно воспользоваться «методом сантехника»:
— ставим какую-нибудь тулзу типа rdp defender
— устанавливаем бан после 3 неудачных попыток
— носитель зловреда вскоре сам обратится с проблемой «не могу подключиться»
— ставим какую-нибудь тулзу типа rdp defender
— устанавливаем бан после 3 неудачных попыток
— носитель зловреда вскоре сам обратится с проблемой «не могу подключиться»
ну или поглядев в лог можно будет оценить массовость явления
p/s/ на время акции желательно свой комп внести в белый список
@youngMaster
В журнале security не всегда есть IP, посмотрите описание данных попыток в журнале Microsoft-Windows-RemoteDesktopServices-RdpCoreTS/Operational